miércoles, 2 de septiembre de 2009

Aplicando la ISO 27002 y la Ley 18.331

En un artículo anterior se mencionaba la propuesta de AGESIC y la Unidad Reguladora y de Control de Datos Personales de crear una directriz que ayude a la aplicación de la Ley 18.331 en base a los criterios de la familia de normas de la serie ISO/IEC 27000.

Continuamos aquí con la exposición que realizó A/S Glenda Garcés, asesora de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento - AGESIC, en la JIAP 2009.

Dentro de la ley 18.331 existen 7 principios: Legalidad, Veracidad, Finalidades, Previo consentimiento informado, Seguridad de datos, Reserva y Responsabilidad. Para cada uno de estos principios se han seleccionado distintos controles de la norma UNIT-ISO/IEC 27002:2005.

La legalidad de una base de datos con información personal estará dada en la ley uruguaya con la inscripción previa, para lo cual se deberá hacer un inventario de bases de datos (control 7.1.1 de la norma), y una clasificación que permita determinar especialmente cuales son datos sensibles (control 7.2).

En cuanto a la veracidad (datos veraces, adecuados, ecuánimes y no excesivos) se recomiendan los controles 6.2.3, 7.1.3, 10.4, 10.6.1c, 10.7.1, 10.7.3a, 10.1.2, 10.8.1, 12.2 y 12.3 relacionados con terceras partes, uso de los datos, protección, redes, medios removibles, cambios y aspectos critográficos.

Para lo que tiene que ver con las finalidades, se hace especial énfasis en eliminar datos cuando no son pertinentes (salvo históricos, estadísticos, científicos o exigencias específicas de la legislación), y en hacer explícita la finalidad cuando se le solicitan datos a las personas (controles 6.2.3, 7.1.3, 10.7.2, 10.8 y 12.4.2).

Para el previo consentimiento informado (libre, previo, expreso e informado) de acuerdo al control 10.9 se excluyen ciertos datos básicos: nombre, apellido, cédula de identidad, nacionalidad, domicilio y fecha de nacimiento.

El principio de seguridad de los datos se apoya en los controles 7.2, 9.1, 9.2, 10.2, 10.4, 10.5, 10.7, 10.8, 10.9, 11, 12.2 y 12.4.

Se recomiendan los controles 6.1.5, 6.2.3, 8.1.3, 9, 10.7 y 10.8 para el principio de reserva considerándose que los datos deben ser para uso exclusivo del giro o actividad de la empresa, y la obligación de no difundir la información a terceros.

Finalmente para la aplicación del principio de responsabilidad se mencionaron los controles 7.1, 8.1.1 y 10.1.3.

[Imagen tomada de un artículo de Pedro Huichalaf Roa en Liberación Digital de Chile]
.
.